22 Jun Nueva Guía de la AEDP sobre Brechas de Seguridad
Cuando se publicó y qué objetivos tiene
El pasado 25 de mayo de 2021, la AEPD publicó una nueva actualización de la guía para la prevención de las Brechas de Seguridad, debido a que en lo que lleva de año se han notificado casi 700 brechas de datos, la mayoría producidas por Ransomware.
Esta guía de la AEPD, tiene por objetivo guiar a los responsables de tratamiento de datos en la obligación que en ellos recae informar tanto a las autoridades de protección de datos, como a los afectados por esta brecha.
Propósitos de la nueva actualización de la Guía de la AEPD
Esta actualización tiene como propósito facilitar el cumplimiento de una forma eficaz y eficiente de:
- La protección efectiva de los derechos y libertades de las personas
- La creación de un entorno más resiliente basado en el conocimiento de las vulnerabilidades de la organización
- La garantía de una seguridad jurídica al disponer de los responsables de un medio para demostrar diligencia en el cumplimiento de sus obligaciones
Qué organizaciones pueden sufrir una brecha de seguridad
Concretamente cualquier organización la puede sufrir, estas brechas repercuten en los derechos y libertades de las personas y, además la organización que la sufra deberá gestionarla de forma adecuada. El origen puede ser accidental o de manera intencionada y, por lo general, los datos personales son destruidos, dañados, alterados o en algunos casos, el acceso a ellos no es posible.
Estructura de la guía
Esta comienza con la definición de lo que es una brecha de seguridad, y explica lo que no es en los diferentes marcos normativos, como son el europeo, el nacional y el sectorial. Más adelante se analiza cuando hay que notificar a la autoridad además de indicar los plazos, a que autoridad en concreto, quien debe y como se debe de notificar, cómo se debe notificar y que hacer tras la notificación. Nos describe el método de notificación a los afectados, es decir, cuando hay que notificarles, los plazos de notificación, el encargado de informarles y, como y que se debe comunicar. Más adelante explica que, notificar y comunicar información relativa a las brechas que afectan a los datos personales, forman parte de la responsabilidad proactiva establecida en el RGPD y, se debe comunicar en tiempo y forma, puesto que si no se cumple esa obligación será considerada como infracción.
Brechas de Seguridad en 2021
La Agencia Española de Protección de Datos ha registrado tras los cinco primeros meses de este año, 700 amenazas, la amenaza más frecuente es por Ransomware comprometiendo tanto la disponibilidad como la confidencialidad de los datos personales. Esto representa respecto al año anterior en los primeros 5 meses un 11,64% más.
Cómo se comunicará a los afectados por las brechas
La agencia dispone de una herramienta llamada “Comunica-Brecha RGPD”, la cual ayuda a las organizaciones para que decidan si deben comunicar a los afectados de que sus datos se han visto comprometidos ante una brecha de seguridad.
Este recurso trata en responder a un formulario en el que se citarán los detalles que, posteriormente, se aplicarán unos criterios en base al riesgo asociado con la brecha. Cuando el formulario esté completado, la herramienta le aconsejará tres opciones posibles:
- Notificar la brecha de seguridad a los afectados debido a que se ha apreciado un riesgo alto.
- No es necesaria la comunicación
- No se puede determinar el tipo de riesgo.
Aun así, el responsable deberá tomar la decisión final, como nota, decir que la Agencia en ningún caso almacenará los datos consignados durante el proceso.
